ÅU 20.02.2018 07:30

Tidsfristen går snart ut. Den 25 maj ska alla som upprätthåller någon form av personregister ha uppdaterat sin datahanteringspraxis så att den uppfyller kraven i EU:s nya dataskyddsförordning (General Data Protection Regulation, GDPR).
Riktningen är den rätta. Reformen ska leda till att var och en ska få stärkta rättigheter då det gäller att värna om den personliga integriteten. De som förvaltar personuppgifter får å sin sida utstakningar för hur de ska göra saker och ting. Metoderna ”standardiseras”, kunde man nästan säga. Förenklat sett ska alla som upprätthåller personregister veta vad personregistret omfattar, var det finns (i vilken form), och hur uppgifter behandlas.
Reformen känns såklart väldigt abstrakt, men alla har vi hört om konkreta exempel på hur personuppgifter hamnat på fel ställe. Ofta är det just så att man förklarar det hela med att något bara ”hamnat” här eller där. Sällan får vi läsa om hur allt exakt gick till då exempelvis patientjournaler har hittats i en soplåda eller brev med en individs hälsouppgifter har skickats till helt fel mottagare.
Dataskyddsförordningen förutsätter att det alltid ska vara klart vem som har rätt att hantera data och hur man går tillväga om data förstörs eller kommer på villovägar.
Hur påverkar det då vardagen i övrigt? För att förstå följderna av detta ”GDPR” måste det hela tas ned till konkreta exempel. En klar målgrupp är disponenter och husbolagens styrelser.
Hur och var förvaras exempelvis listor över aktieägare och invånare? Är de uppdaterade? Har bolaget en så kallad ”husbok”, där man bokför alla invånare? Husboken är inte längre obligatorisk (sedan 1996), men många husbolag har fortfarande en sådan, och i så fall ska boken i alla fall vara uppdaterad. Sedan kan man fråga sig om det här är en lämplig tidpunkt att göra sig av med denna husbok, eftersom också den i så fall omfattas av de nya skärpta kraven. Det är hur som helst husbolagens styrelse och disponent som ska se till att praxis fyller de nya kraven.
Hur samlas data in, var sparas de och av vem, vem har tillgång till data, vem har rätt att ändra uppgifter? Det är frågor som ska ha svar i maj. Kanske din organisation till och med behöver en dataskyddsansvarig?
Hur många företag finns det inte i det här landet som har någon form av kunddatabasmed sådana uppgifter som gör det hela till ett personregister? Ibland kan det vara skäl att fråga sig om det finns en laglig grund för de alla uppgifter man samlat på sig?
En verkligt viktig del av hela reformen är att alla berörda förutsätts ha svar på frågan om hur man gör då något gått fel.
Ett bekymmer är att alla kanske inte ens inser att de sitter på ett personregister av något slag, och därmed omfattas av de nya bestämmelserna. Ett personregister är i praktiken allt som handlar om en lista med namn och andra uppgifter, sammanställda på ett sätt som gör att man kan identifiera individerna och något specifikt som är kopplat till dem. Vi kan bara fantisera oss till ur många tusentals personregister det finns i Finland.
Många har redan fortbildats, men också i dessa dagar sitter talrika människor på företags, kommuners, församlingars, fackförbunds och föreningars fortbildningsdagar, för att lära sig hur GDPR påverkar rutinerna för hur persondata ska hanteras.
En fråga som kan vara svår att svara på är varför man samlat på sig just de specifika uppgifter man har i sin databas: I framtiden ska personregister innehålla bara sådant som är relevant, inte data som samlats in av gammal vana (kanske bara på grund av ett gammalt formulär, inget desto konstigare). Den som har ett register ska kunna motivera varför olika uppgifter är nedtecknade – annars ska de raderas.
Det goda med reformen är att det som är småskaligt och enkelt får vara det också i fortsättningen. Ett enkelt medlemsregister i bokform är ok också i framtiden. Det behöver inte föras över till en dator så att någon dataskyddsinspektör ska godkänna det.
För helt vanligt föreningsfolk kan reformen rentav bara en bra knuff att se över alla listor. Ofta blir det så att man samlar på sig mycket sådant som lätt kunde åtgärdas med delete-knappen eller med en dokumentförstörare. EU:s nya dataskyddsförordning har inga stora följder för de flesta registerupprätthållare, men med den i åtanke kan det vara bra att just i år göra den där registerstorstädningen som man talat om i så många år, gå igenom vad allt man sparat skåpen eller på hårdskivan – må det sedan gälla marthor, jaktvårdsföreningar eller idrottsklubba. Det är aldrig fel att göra sig av med registerdata som ingen behöver. Det handlar i slutändan om integritet, var och ens rätt att bli struken från register där man inte längre behöver vara antecknad.

ÅU
Ge respons åt redaktören

Dela artikeln